GitHub-sovellukset vs. OAuth-sovellukset: Valitse oikea GitHub-yhteys

Kun integroit GitHub-todennuksen Logto-sovellukseesi, sinulla on kaksi vaihtoehtoa: GitHub-sovellukset ja GitHub OAuth -sovellukset. Molemmat mahdollistavat "Kirjaudu sisään GitHubilla" -toiminnon, mutta ne tarjoavat pohjimmiltaan erilaisen kokemuksen turvallisuuden, tunnusten hallinnan ja API-käytön suhteen. Tämä opas auttaa sinua ymmärtämään tärkeimmät erot ja valitsemaan oikean lähestymistavan omaan käyttötarpeeseesi.

Tausta: Kaksi reittiä GitHub-integraatioon#

Logton nykyinen dokumentaatio ohjaa sinut asettamaan GitHub OAuth -sovelluksen sosiaalista kirjautumista varten. Tämä on yksinkertaisempi ja suoraviivaisempi vaihtoehto, joka toimii hyvin perustodennuksen tarpeisiin. GitHub-sovellukset taas edustavat GitHubin suosittelemaa modernia lähestymistapaa, tarjoten parempia tietoturvaominaisuuksia sekä tarkemman käyttöoikeushallinnan.

Ajattele asiaa näin: OAuth-sovellukset ovat kuin antaisit jollekin pääavaimen kotiisi – he saavat laajan pääsyn yhdellä hyväksynnällä. GitHub-sovellukset taas ovat kuin älylukkojärjestelmä, jossa eri huoneisiin on omat koodinsa – käyttäjät voivat antaa tarkat oikeudet juuri siihen, mitä sovelluksesi tarvitsee.

Keskeiset erot nopeasti katsottuna#

Käyttöoikeudet: Laajat vs. hienojakoiset#

• OAuth-sovellukset käyttävät laajoja oikeuksia – jos pyydät repo, saat koko repoon täyden hallinnan.
• GitHub-sovellukset käyttävät hienojakoisia oikeuksia – voit pyytää pelkästään "Issues: vain luku" tarvitsematta oikeuksia koodiin. Lisäksi käyttäjät voivat valita haluamansa repositorion asennuksen yhteydessä, eli suoraa pääsyä kaikkiin ei anneta.

Token-turvallisuus: Pysyvät vs. vanhenevat#

• OAuth-sovellukset antavat tunnuksia, jotka eivät vanhene (ellet peruuta niitä käsin), eikä niihin liity päivitysmekanismia.
• GitHub-sovellukset käyttävät lyhytikäisiä tunnuksia (voimassa 1 tunnin), joissa on automaattinen päivitystuki — paljon turvallisempia jatkuvaan käyttöön.

Identiteetti: Käyttäjä vs. botti#

• OAuth-sovellukset toimivat aina valtuuttavan käyttäjän nimissä (esim. @octocat) ja jakavat tämän käyttäjän rajat (5 000 pyyntöä/tunti).
• GitHub-sovellukset voivat toimia itsenäisesti oman botin identiteetillä (esim. @my-app[bot]) ja niillä on skaalautuvat rajat, jotka kasvavat käytön mukaan – täydellisiä automaatiolle.

Käyttöoikeuden hallinta: Kaikki-tai-ei-mitään vs. valikoiva#

• OAuth-sovellukset vaativat kertaluonteisen hyväksynnän kaikkiin resursseihin, joihin käyttäjällä on pääsy.
• GitHub-sovellukset mahdollistavat sovelluksen asentamisen, tiettyjen repositorioiden valinnan ja saavat webhook-ilmoituksia oikeuksien muutoksista — näin käyttäjä tietää ja hallitsee paremmin, mihin sovelluksella on pääsy.

Pysyvyys: Käyttäjäriippuvainen vs. itsenäinen#

• OAuth-sovellukset ovat sidottuja valtuuttajaan – jos kehittäjän oikeudet poistetaan, sovellus lakkaa toimimasta.
• GitHub-sovellukset toimivat edelleen, vaikka asentanut kehittäjä poistuisi organisaatiosta – tämä takaa automaation ja integraatioiden jatkuvan toiminnan.

Kumpi kannattaa valita?#

Sekä GitHub-sovellukset että OAuth-sovellukset toimivat saumattomasti Logton sosiaalisen yhdistimen kanssa. Logton Secret Vault tallentaa turvallisesti kummankin integraation tunnukset, mutta käyttökokemuksissa on eroja:

Peruskirjautuminen OAuth-sovelluksilla#

Jos tarvitset vain käyttäjien tunnistamisen (Kirjaudu sisään GitHubilla) etkä aio kutsua GitHubin API-rajapintoja myöhemmin, OAuth-sovellus on nopein reitti:

• Yksinkertainen asennus: käyttäjät valtuuttavat OAuth-sovelluksen ja kirjautuvat GitHubin kautta.
• Tunnukset ovat pitkäikäisiä (ei päivitystä): Logto voi tallentaa käyttöoikeustunnuksen Secret Vaultiin, mutta päivitysmekanismia ei ole – tunnus on voimassa kunnes se perutaan.
• Paras, kun tarvitset vain käyttäjän perustiedot (sähköposti, nimi, avatar) etkä tee automaattista API-kutsutyötä.

Miksi valita tämä: helpoin ja nopein prototyypeille tai sovelluksille, jotka kaipaavat vain kirjautumista ja satunnaista profiilitietojen synkronointia.

Laajennettu integraatio GitHub-sovelluksilla#

Valitse GitHub-sovellus, kun sovelluksesi tarvitsee jatkuvaa pääsyä GitHubin API-rajapintoihin, tausta-automaatioon tai tiukempaa tietoturvaa:

• Hienojakoiset käyttöoikeudet ja per-asennus repo-valinta pitävät pääsyn minimissä ja helposti seurattavana.
• Tunnukset ovat lyhytikäisiä (yleensä 1 tunti), GitHub-sovellus voi antaa myös päivitystunnuksia; kun tämä on päällä, Logto tallentaa sekä käyttö- että päivitystunnuksen Vaultiin ja hoitaa kierrot automaattisesti — takaa jatkuvuuden ilman käyttäjän uudelleenkirjautumista.
• Sovelluksen identiteetti (botti) parantaa tunnistettavuutta ja skaalautuvat rajat mahdollistavat luotettavamman intensiivisen automaation.

Parhaimmillaan:

• SaaS-alustoille, jotka hallitsevat käyttäjien GitHub-repositorioita
• AI-agentit, jotka käsittelevät koodia, issueita tai pull requesteja
• Sovellukset, jotka tarvitsevat jatkuvaa API-pääsyä
• Työkalut, jotka tekevät tausta-automaatiotöitä

GitHub-sovelluksen perustaminen Logtoon#

GitHub-sovelluksen perustaminen on samantyyppistä kuin OAuth-sovelluksen, mutta mukana on pieniä eroja. Siirtyminen OAuth-sovelluksesta GitHub-sovellukseen vaatii vain vähän työtä.

GitHub-sovelluksen luominen#

1. Siirry kohtaan "GitHub Settings > Developer settings > GitHub Apps"

2. Klikkaa "New GitHub App"

3. Määritä:

   • GitHub App name: Sovelluksesi yksilöllinen tunniste
   • Homepage URL: Sovelluksesi verkkosivu
   • Callback URL: Logto-yhdistimen callback-osoite (sama kuin OAuth-sovelluksessa)
   • Request user authorization (OAuth) during installation: Ota tämä käyttöön
   • Webhook: Valinnainen, tarpeesi mukaan
   • Permissions: Valitse halutut hienojakoiset oikeudet (esim. "Issues: Read")
   • User permissions: Lisää käyttäjäkohtaiset oikeudet, jos toimit käyttäjän puolesta

4. Luo client secret (sama kuin OAuth-sovelluksessa)

Määrittäminen Logtossa#

Logto-yhdistimen asetukset ovat lähes identtiset:

1. Syötä Client ID GitHub-sovelluksesta
2. Lisää Client secret
3. Ota käyttöön "Store tokens for persistent API access" jos tarvitset pääsyn GitHubin API-rajapintoihin
4. Keskeinen ero - Scopes:
   • Toisin kuin OAuth-sovellukset (jotka vaativat scope-kenttään merkinnän Logton asetuksissa), GitHub-sovelluksen oikeudet määritellään GitHubin asetuksissa.
   • Jätä scope-kenttä tyhjäksi Logtossa
5. Request refresh token (valinnainen)
   • Lisää offline_access scope-kenttään Logtossa aktivoidaksesi päivitystunnukset
   • GitHub antaa automaattisesti päivitystunnuksen ja Logto hoitaa kierron sekä tallentaa molemmat tunnukset Vaultiin
   • Huom: OAuth-sovellukset eivät tue päivitystunnuksia – niiden access tokenit eivät vanhene, joten offline_access ei koske niitä. Tämä on erityinen ero GitHub-sovellusten kanssa.

Yhteenveto#

Vaikka OAuth-sovellukset ovat yhä käyttökelpoinen vaihtoehto perustodennukseen, GitHub-sovellukset edustavat GitHub-integraatioiden tulevaisuutta. Ne tarjoavat parempaa turvallisuutta tokenien vanhenemisen, tarkempien käyttöoikeuksien ja käyttäjän paremman hallinnan ansiosta.

Logton käyttäjille molemmat vaihtoehdot toimivat sosiaalisen yhdistimen kanssa. Valinta riippuu omista tarpeistasi:

• Aloita yksinkertaisesti OAuth-sovelluksilla, jos tarvitset vain todennuksen
• Siirry GitHub-sovelluksiin, kun tarvitset API-pääsyä, automaatiota tai parempaa tietoturvaa

Muista — Logton Secret Vault ja automaattinen tokenin päivitys tekevät GitHub-sovelluksen tunnushallinnasta yhtä helppoa kuin OAuth-sovelluksilla, turvallisuudesta tinkimättä. Rakennatpa AI-koodiassistenttia, projektinhallinta-alustaa tai kehittäjien tuottavuustyökalua, sinulla on nyt tiedot oikean GitHub-integraation valintaan Logto-sovelluksellesi.

Valmis aloittamaan? Katso Logton GitHub-yhdistimen opas ja aloita GitHub-todennuksen integrointi jo tänään.

Lisäresurssit#

• GitHub: Differences between GitHub Apps and OAuth Apps
• GitHub: Migrating OAuth Apps to GitHub Apps
• Logto: Set up social login with GitHub
• Logto: Third-party token storage & API access
• GitHub: Creating a GitHub App
• GitHub: Scopes for OAuth Apps